jquery - 使用 jQuery Ajax 和 Html.AntiForgeryToken() 时，防伪表单字段“__RequestVerificationToken”不存在

Question

我为这个问题的接受答案中描述的解决方案实现了 Razor 等效项： jQuery Ajax calls and the Html.AntiForgeryToken() 但我一直收到以下异常：

System.Web.Mvc.HttpAntiForgeryException (0x80004005)：所需的防伪表单字段“__RequestVerificationToken”不存在。

编辑

我设法解决它这样做：

function AddAntiForgeryToken(data) {
    data.append('__RequestVerificationToken',$('#__AjaxAntiForgeryForm input[name=__RequestVerificationToken]').val());
    return data;
};

function CallAjax(url, type, data, success, error) {

    var ajaxOptions = { url: url, type: type, contentType: 'application/json'};

    if (type == 'POST') {
        var fd = new window.FormData();
        fd = AddAntiForgeryToken(fd);
        $.each(data, function (i, n) {
            fd.append(i,n);
        });
        data = fd;
        ajaxOptions.processData = false;
        ajaxOptions.contentType = false;
    }

    ajaxOptions.data = data;

    if (success) ajaxOptions.success = success;

    //If there is a custom error handler nullify the general statusCode setting.
    if (error) {
        ajaxOptions.error = error;
        ajaxOptions.statusCode = null;
    };

    $.ajax(ajaxOptions);
}

但不幸的是，FormData() 仅在最新的浏览器版本中受支持。任何可以在 FormData() 引入之前起作用的解决方法？

编辑 我想知道为什么ValidateAntiForgeryTokenAttribute只在表单数据中查找 AntyForgeryToken，而不是在 rout 值中查找它，正如您在下面密封类AntiForgeryTokenStore和AntiForgeryWorker的代码中看到的那样？

public void Validate(HttpContextBase httpContext)
{
  this.CheckSSLConfig(httpContext);
  AntiForgeryToken cookieToken = this._tokenStore.GetCookieToken(httpContext);
  AntiForgeryToken formToken = this._tokenStore.GetFormToken(httpContext);
  this._validator.ValidateTokens(httpContext, AntiForgeryWorker.ExtractIdentity(httpContext), cookieToken, formToken);
}


public AntiForgeryToken GetFormToken(HttpContextBase httpContext)
{
  string serializedToken = httpContext.Request.Form[this._config.FormFieldName];
  if (string.IsNullOrEmpty(serializedToken))
    return (AntiForgeryToken) null;
  else
    return this._serializer.Deserialize(serializedToken);
}

Answer 1

好吧，在挖掘了更多之后，我在这个链接中找到了一个很好的解决我的问题的方法： ASP.NET MVC Ajax CSRF Protection With jQuery 1.5

据我了解该问题的选择答案中描述的解决方案：jQuery Ajax 调用和 Html.AntiForgeryToken()，不应该工作（实际上它对我来说失败了）。

Answer 2

创建防伪令牌：

@using (Html.BeginForm()) {
    @Html.AntiForgeryToken()
    <input ...>
}

创建一个函数以将令牌添加到 ajax 请求：

function addRequestVerificationToken(data) {
    data.__RequestVerificationToken=$('input[name=__RequestVerificationToken]').val();
    return data;
};

然后你可以像这样使用它：

$.ajax({
   type: "POST",
   url: '@Url.Action("MyMethod", "MyController", new {area = "MyArea"})',
   dataType: "json",
   traditional: true,
   data: addRequestVerificationToken( { "id": "12345678" } );
})
.done(function(result) {
   if (result) {
       // Do something
   } else {
       // Log or show an error message
   }
   return false;
});

Answer 3

当你打电话CallAjax()时，data来自哪里？我问是因为，通常当您的数据来自表单时，您的 CSRF 令牌已经是表单的一部分，通常在隐藏字段中。

<form action="yourPage.html" method="POST">
    <input type="hidden" name="__RequestVerificationToken" value="......"/>
    .... other form fields ....
</form>

因此，如果您的数据全部来自表单，那么您应该确保令牌是该表单的隐藏部分，并且应该自动包含令牌。

如果您的数据来自表单以外的其他地方，那么您可以将令牌存储在某个地方，然后在数据组装后将其包含在内，这是可以理解的。但是您可能会考虑将令牌添加到数据中，而不是从令牌构建新对象，然后将所有数据添加到其中。

if (type == 'POST') {
    data._RequestVerificationToken = $("input[name='__RequestVerificationToken']").val();
    ajaxOptions.processData = false;
    ajaxOptions.contentType = false;
}